package com.yonyou.pmclouds.basecom.util;

import org.apache.commons.lang3.StringUtils;

public class SqlUtil {

    private static String LIST_SEPARATOR = ",";
    /**
     * 该方法存在sql注入风险，严禁使用，请使用mybatis的for-each处理
     * comment by mapeif
     *
     * 对id中是否包含","进行判断。由后台统一生成的id不会包含","，不知道这样是不是能解决之前所说的注入问题
     *
     * @zhangwce
     */
//    @Deprecated
    public static String getSqlIn(String[] ids)
    {
        StringBuffer idsStr = new StringBuffer();
        for (int i = 0; i < ids.length; i++) {
            // 避免id中存在特殊字符导致注入 不确定之前说的注入风险是不是能解决
            if(StringUtils.isEmpty(ids[i])){
                continue;
            }

            if(ids[i].contains(","))
                continue;
            if (i > 0) {
                idsStr.append(",");
            }
            idsStr.append("'").append(ids[i]).append("'");
        }
        return idsStr.toString();
    }
}
